Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Exibir e atualizar dependências vulneráveis no repositório

Se o GitHub descobrir dependências vulneráveis no seu projeto, você poderá visualizá-las na aba de alertas do Dependabot no seu repositório. Em seguida, você pode atualizar seu projeto para resolver ou descartar a vulnerabilidade.

Os administradores e proprietários da organização podem visualizar e atualizar dependências.

Neste artigo

A aba de alertas do GitHub Dependabot do seu repositório lista todos Alertas GitHub Dependabot e as Atualizações de segurança do GitHub Dependabot correspondente. Você pode classificar a lista de alertas usando o menu suspenso e clicar em determinados alertas para ver mais detalhes. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis"

É possível habilitar atualizações de segurança automáticas para qualquer repositório que usa o Alertas GitHub Dependabot e o gráfico de dependências. Para obter mais informações, consulte "Configurando Atualizações de segurança do GitHub Dependabot."

Sobre atualizações para dependências vulneráveis no seu repositório

O GitHub envia Alertas GitHub Dependabot quando detectamos vulnerabilidades que afetam o seu repositório. Para repositórios em que o Atualizações de segurança do GitHub Dependabot está ativado, quando GitHub detecta uma dependência vulnerável, Dependabot cria um pull request para corrigi-la. The pull request will upgrade the dependency to the minimum possible secure version needed to avoid the vulnerability.

Note: It's good practice to have automated tests and acceptance processes in place so that checks are carried out before the pull request is merged. This is particularly important if the suggested version to upgrade to contains additional functionality, or a change that breaks your project's code. For more information about continuous integration, see "About continuous integration."

Visualizar e atualizar dependências vulneráveis

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the security sidebar, click Dependabot alerts.
    Dependabot alerts tab
  4. Clique no alerta que deseja exibir.
    Alerta selecionado na lista de alertas
  5. Revise as informações da vulnerabilidade e, se disponível, o pull request que contém a atualização de segurança automatizada.
  6. Opcionalmente, se ainda não houver uma atualização de Atualizações de segurança do GitHub Dependabot para o alerta, crie um pull request para resolver a vulnerabilidade. Clique em Criar uma atualização de segurança de Dependabot.
    Crie um botão de atualização de segurança do Dependabot
  7. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request. Cada pull request criado por Dependabot inclui informações sobre os comandos que você pode usar para controlar Dependabot. Para obter mais informações, consulte "Gerenciar pull requests para atualizações de dependências".
  8. Opcionalmente, se o alerta estiver sendo corrigido, se estiver incorreto, ou localizado em um código não utilizado, use o menu suspenso "Ignorar", e clique em um motivo para ignorar o alerta.
    Escolher o motivo para ignorar o alerta a partir do menu suspenso "Ignorar"down

Further reading

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato